アイドル スキャンは、PC にスプーフィングされたパケットを送信して、取得可能なサービスを探すことからなる通信プロトコル ポート スキャン手法である可能性があります。これは、ネットワーク トラフィックが非常に遅いか存在しない (つまり、情報の送受信が行われていない) 別の PC になりすますことで実現できます。これは、「ゾンビ」として知られる、アイドル状態の PC である可能性があります。
このアクションは、多くの場合、nmap や hping などの一般的なコード ネットワーク ユーティリティを通じて実行されます。この攻撃には、別のゾンビ マシンの明確な特性を探ろうとする目的で、特定のマシン ターゲットにソリッド パケットを送信することが含まれます。攻撃者 PC とターゲットの間に相互作用がないため、攻撃は洗練されています。攻撃者は「ゾンビ」PC とのみ相互作用します。
このエクスプロイトは、ポート スキャナーとして、およびマシン間の確実な情報関係の管理者として、2 つの機能で機能します。ターゲットシステムは「ゾンビ」PC と対話し、動作の違いは、ターゲットによって異なるコンピュータに付与されたさまざまな特権の証拠とともに、まったく異なる「ゾンビ」の虐待であることがよく発見されます。
アイドル スキャンの背後にある全体的な目的は、「ターゲットのホストからはまったく見えない状態で、ポートの状態をチェックする」ことです。アソシエート アイドル スキャンの実行の最初のステップは、該当するアソシエイト ゾンビを探すことです。インフォマティクス ID パケットは、(通信先のホストごとではなく) 世界規模で段階的に割り当てる必要があります。無関係なトラフィックによってインフォマティクス ID シーケンスが上昇し、スキャン ロジックが混乱する可能性があるため、アイドル状態である必要があります (したがってスキャン名が付けられています)。犯罪者とゾンビの間、およびゾンビとターゲットの間の待ち時間が短いほど、スキャンをより速く進めることができます。
ポートが開くと、IPID は 1 組ずつ増加することに注意してください。そのシーケンスは次のとおりです。
注目する攻撃者 -> SYN、ゾンビのターゲット -> SYN/ACK、注目するゾンビ -> RST (IPID が 1 ずつ増加) 現在、攻撃者はゾンビの結果を調べようとします。攻撃者からゾンビへ -> SYN/ACK、ゾンビから攻撃者へ -> RST (IPID が 1 ずつ増加) したがって、このメソッド中に IPID は最終的に 2 つのペアずつ増加します。
アソシエート アイドル スキャンが試行されると、ツール (nmap など) が投影されたゾンビをテストし、問題があればレポートします。1 つが機能しない場合は、別の方法を試してください。ゾンビ候補者が探索するのに苦労しないほど、十分な数のネット ホストが脆弱性を備えています。標準的なアプローチは、ネットワークの ping スイープを簡単に実行することです。供給アドレスに近いネットワーク、またはターゲットに近いネットワークを選択すると、より高い結果が得られます。動作するホストが見つかるまで、ping スイープの結果から取得可能なすべてのホストに対してアイドル スキャンの不正処理を試みることができます。いつものように、アイドル スキャンなどの驚くべき機能のために誰かのマシンを乱用する前に、許可を高めることが最善です。
単純なネットワーク デバイスは通常、それぞれが十分に使用されておらず (アイドル状態にあり)、インフォマティクス ID トラフィック検出の影響を受けやすい単純なネットワーク スタックで設計されているため、通常、素晴らしいゾンビを作成します。
許容できるゾンビを区別するには最初の作業が必要ですが、優れたゾンビを再利用し続けることができます。代替案として、計画外の公共インターネット サービスをゾンビ ホストとして利用して、同様のアイドル スキャンを実行するという分析もあります。これらのサービスの多くは、ユーザーの送信時に接続の切断を実行するというアプローチを利用して、かなり貧乏な人のアイドル スキャンを機能させます。

Opsview での SNMPv2 トラップ処理の設定に関するドキュメントにはすでにさまざまな記事がありますが、SNMPv3 トラップはまったく新しいボールゲームです。初めてこのプロセスを実行するときは、セットアップが非常に混乱し複雑になる可能性がありますが、何が起こっているのかを理解すれば、すべてがより意味のあるものになるはずです。
SNMP は、パフォーマンスとセキュリティを向上させるためにいくつかの改訂を経てきました (バージョン 1、2c、および 3)。デフォルトでは、これは UDP ポート ベースのプロトコルであり、通信はネットワーク パケットが別のデバイスに送信される「ファイア アンド フォーゲット」方式に基づいていますが、そのパケットの受信チェックはありません（ネットワーク パケットが送信されたときの TCP ポートとは対照的に）通信リンクのもう一方の端によって確認される必要があります)。
SNMP には 2 つの動作モードがあります。1 つのデバイスが定期的に SNMP 対応デバイスに情報を要求する取得リクエスト (またはポーリング) (通常は UDP ポート 161 を使用)、もう 1 つは SNMP 対応デバイスが別のデバイスにメッセージを送信するトラップです。イベントの発生時 (通常は UDP ポート 162 を使用)。後者には、誰かがログオンしている、デバイスの電源がオンまたはオフになっている、またはこの種の調査が必要なその他のさまざまな問題などが含まれます。
ポーリングとバージョン 2c トラップについてはドキュメントの他の場所で説明しているため、このブログでは SNMPv3 トラップについて説明します。
SNMPトラップ
SNMP は主に UDP ポート ベースのシステムであるため、デバイス間で送信するときにトラップが「失われる」可能性があります。送信側デバイスは、受信側がトラップを受信したかどうかを確認するまで待機しません。これは、送信デバイスの設定が間違っている場合 (間違った受信側 IP アドレスまたはポートを使用している場合)、または受信側がトラップをリッスンしていないか、設定ミスによりトラップを手動で拒否している場合、送信側はそれを知ることができないことを意味します。
SNMP v2c 仕様では、トラップを 2 つのタイプに分割するという考えが導入されました。オリジナルの「hope it get there」トラップと新しい「INFORM」トラップです。INFORM を受信すると、受信者は確認応答を返信する必要があります。送信者が確認応答を返さない場合、既存の問題があることを認識し、システム管理者がデバイスに問い合わせるときに見つけられるように、その問題をログに記録できます。

ログイン時にユーザー名とパスワードを受け入れる他のサービスと同様に、AWS ユーザーは攻撃者からのソーシャル エンジニアリング攻撃に対して脆弱です。偽の電子メール、電話、またはその他のソーシャル エンジニアリングの方法により、AWS ユーザーの認証情報が攻撃者の手に渡ってしまう可能性があります。
ユーザーが AWS へのアクセスに API キーのみを使用する場合でも、一般的なフィッシング手法を使用して他のアカウントやユーザーの PC 自体にアクセスできる可能性があり、攻撃者はそこで前述の AWS ユーザーの API キーを取得する可能性があります。
基本的なオープンソース インテリジェンス (OSINT) を使用すると、AWS を定期的に使用する組織の従業員のリストを収集するのは通常は簡単です。このリストは、スピア フィッシングの標的となり、認証情報を収集します。簡単な手法としては、過去 24 時間で請求額が 500 位に急増したことを伝える電子メール、「追加情報についてはここをクリックしてください」が含まれる場合があります。ユーザーがリンクをクリックすると、次の目的で設計された AWS ログイン ページの悪意のあるコピーに転送されます。彼らの資格情報を盗みます。
このような電子メールの例を以下のスクリーンショットに示します。これは、いくつかの小さな変更を除いて、無料利用枠の制限を超えた場合に AWS から送信される電子メールとまったく同じです。スクリーンショット内の強調表示された領域のいずれかをクリックすると、AWS の公式 Web サイトには移動せず、代わりに認証情報を盗むために設定された偽のログイン ページに転送されます。
これらの電子メールは、送信前に少し追加の OSINT を実行することでさらに具体的になります。攻撃者がオンラインのどこかであなたの AWS アカウント ID を発見する準備ができている場合、rhino が以前に無料で提供した方法を使用して、ログを一切記録せずにアカウントに存在するユーザーとロールを列挙する可能性があります。このリストを使用してターゲット リストをさらに絞り込み、さらに、あなたがよく使用するサービスを参照するためのメールとして使用することもできます。
参考までに、ロールの列挙に AWS アカウント ID を使用するための仕訳投稿はここにあり、ユーザーの列挙に AWS アカウント ID を使用するための仕訳投稿はここにあります。
rhino での取り組みの中で、AWS 環境にアクセスする最も早い方法の 1 つがフィッシングであることがわかりました。